Apple, geçen ay eski iPhone’lara ve iPad’lere yayınlanan Backport yamalarına güvenlik güncellemeleri yayınladı ve “son derece sofistike” saldırılarda kullanılan sıfır gün hatasına hitap etti.
Bu güvenlik kusuru, Apple’ın iOS 18.6.2 ve iPados 18.6.2, iPados 17.7.10 ve macOS (Sequoia 15.6.1, Sonoma 14.7.8 ve Ventura 13.7.8) çalıştıran cihazlar için 20 Ağustos’ta aynı güvenlik kusuru.
CVE-2025-43300 olarak izlenen bu güvenlik açığı, Apple Güvenlik Araştırmacıları tarafından keşfedildi ve uygulamaların görüntü dosyası formatlarını okumasını ve yazmasını sağlayan görüntü G/Ç çerçevesinde sınır dışı bir yazı zayıflığı neden oluyor.
Saldırganlar, tahsis edilen bellek arabelleğinin dışına veri yazmasına, çökmeleri tetiklemesine, verileri bozan veya hatta uzaktan kod yürütmesine izin veren bir programa kötü niyetli olarak hazırlanmış girdi sağladığında, sınır dışı bir yazı gerçekleşir.
Apple şimdi bu sıfır gün kusurunu iOS 15.8.5 / 16.7.12’de ve iPados 15.8.5 / 16.7.12’de geliştirilmiş sınır kontrolleriyle ele aldı.
Pazartesi günü danışmanlarda, “Kötü amaçlı bir görüntü dosyasının işlenmesi bellek yolsuzluğuna neden olabilir. Binek dışı bir yazma sorunu, iyileştirilmiş sınırların kontrolü ile ele alındı.” Dedi.
“Apple, bu sorunun belirli hedeflenen bireylere karşı son derece sofistike bir saldırıdan yararlanmış olabileceğine dair bir raporun farkında.”
Bu güvenlik açığından etkilenen cihazların listesi oldukça kapsamlıdır, hata aşağıdakiler de dahil olmak üzere çok çeşitli eski modelleri etkilemektedir.
- İPhone 6S (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPhone 8, iPhone 8 Plus ve iPhone X,
- iPad Air 2, iPad Mini (4. Nesil), iPad 5. Nesil, iPad Pro 9.7 inç, iPad Pro 12.9 inç 1. nesil ve iPod Touch (7. Nesil)
Ağustos ayı sonlarında WhatsApp, şirketin “son derece sofistike” olarak tanımlanan hedefli saldırılarda Apple’ın CVE-2025-43300 sıfır günüyle zincirlenen iOS ve macOS mesajlaşma istemcilerinde sıfır tıkalı bir güvenlik açığı (CVE-2025-55177) yamaladı.
Apple ve WhatsApp, iki güvenlik açıkına zincirleyen saldırılarla ilgili herhangi bir ayrıntı yayınlamamış olsa da, Uluslararası Af Örgütü Güvenlik Laboratuvarı başkanı Donncha Cearbhaill, WhatsApp’ın bazı kullanıcılarına cihazlarının gelişmiş bir casus yazılım kampanyasında hedeflendiği konusunda uyardı.
Geçen hafta Samsung ayrıca, Android cihazlarını hedefleyen sıfır gün saldırılarında CVE-2025-55177 WhatsApp kusuruyla zincirlenmiş bir uzaktan kod yürütme güvenlik açığını yamaladı.
Bu güvenlik açığı ile Apple, 2025’te Vahşi’de sömürülen altı sıfır gün sabitledi: Ocak ayında birincisi (CVE-2025-24085), ikincisi Mart ayında üçte biri (CVE-2025-24201) ve Nisan ayında (CVE-2025-24201) (CVE-2025-24201) (CVE-2025-24201) sabitledi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.